Hallo alle zusammen,

ich habe seit langem mal wieder escan über mein System laufen lassen. dabei kamen 3 "infected" Meldungen (Auszug aus dem log s. u.).

Zu isearch habe ich irgendwie gar nichts Vernünftiges gefunden.

Zu bearschare habe ich zwar gefunden, dass es ein gleichnamiges Program gibt. Das hatte ich aber nie installiert (könnte allerdings sein, dass meine Frau das mal installiert hatte und ich nichts davon weiß). jetzt ist es auf jeden Fall nicht mehr installiert (ist in der Systemsteuerung/Software nicht da, auch existiert kein entsprechender Ordner mehr unter c:\Programme).

Zu cws.therealsearch habe ich auch was gefunden: den cwshredder. Den habe ich auch schon mehrfach über das System laufen lassen, der findet aber nie etwas(dabei soll er doch angeblich 100% sicher sein).

Spybot und Adaware finden auch nichts (in keinem der drei Fälle). Irgendwie weiß ich jetzt nicht weiter. Muß ich mir Sorgen machen oder soll ich die Meldungen ignorieren? Oder kann ich doch das Problem beheben? Wenn ja wie?

Dann sind da noch die vielen Meldungen, die alle mit "Entry..." anfangen. Was hat das denn zu bedeuten. Kann ich diese Einträge einfach alle aus der registry löschen ohne dass was passiert (sprich: läuft mein System denn dann noch?)?

Anbei mal der Auszug aus dem escan log und das HijackThis log:



Hier der Auszug aus dem escan log:

***** Scanning Registry and File system for Adware/Spyware *****
Loading Spyware Signatures from new External Database (Size: 134804).

System found infected with isearch Spyware/Adware ({1c78ab3f-a857-482e-80c0-3a1e5238a565})! Action taken: Keine Aktion vorgenommen.

Offending value found in HKCU\Software\gnu !!!
Object "bearshare Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.

System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: Keine Aktion vorgenommen.


***** Scanning Registry for errors created because of Adware/Spyware *****
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\System32\qtplugin.ocx". Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\AOL 7.0\Aol.hlp". Action Taken: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\AOL 7.0\Aol.cnt". Action Taken: Keine Aktion vorgenommen.
.....

hier nur die ersten 3 Einträge, die Liste ist ziemlich lange (>200 Einträge), die alle so ähnlich aussehen, wie die oben. Bei Bedarf kann ich auch die vollständige Liste posten.



Hier das HjackThis Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\0190WA~3\WARN0190.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\PROGRA~1\GENIUS~1\mouseElf.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\PROGRA~1\0190WA~3\w0svc.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\Heiko\Programme\Sicherheit\Virenscanner\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~3\whelper1.dll
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~3\WARN0190.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\mouseElf.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094559497921
O16 - DPF: {A7E092C3-692A-11D0-A7E5-08002B322F3B} - https://webresponse.one.microsoft.com/oas/ActiveX/FileXfer.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54FFF8F6-5C4E-4D39-A5C5-FC16797A908D}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B1F23DB-9E77-48EB-B190-480A0BA82439}: NameServer = 192.168.120.252,192.168.120.253
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

hast du eScan richtig ausgeführt? wenn Nein, hole dies bitte nach.
Benutze übrigens die Find.Bat, es wäre wichtig was für malware auf dem pc ist. (erklärung dazu steht in der anleitung)

@jekel
poste bitte auch die systeminfos von HJT
poste die ergebnisse von escan wie hier beschrieben wird
http://www.trojaner-board.de/showthread.php?t=17492

chaosman

Hallo nochmal (und Danke für die raschen Antworten),

hier die von Euch gewünschten weiteren Infos:

zunächst die Systeminformationen von HijackThis:

Logfile of HijackThis v1.98.0
Scan saved at 16:47:43, on 27.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

und dann noch der Auszug aus der mwavscan.log:

manuel ausgelesen:

System found infected with isearch Spyware/Adware ({1c78ab3f-a857-482e-80c0-3a1e5238a565})! Action taken: Keine Aktion vorgenommen.
Offending value found in HKCU\Software\gnu !!!
Object "bearshare Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen.
System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: Keine Aktion vorgenommen.

Gescannte Dateien: 81748
Gefundene Viren: 3
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 340
Zeit vergangen: 03:28:19
Virus Datenbank Datum: 2005/08/27
Virus Datenbank Zähler: 145822



mit find.bat ausgelesen:

Sat Aug 27 20:50:23 2005 => System found infected with isearch Spyware/Adware ({1c78ab3f-a857-482e-80c0-3a1e5238a565})! Action taken: Keine Aktion vorgenommen.
Sat Aug 27 20:51:29 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: Keine Aktion vorgenommen.
(hier ist jettzt von dem "bearshare" nichts zu finden ???)

escan habe ich genau nach Anleitung ausgeführt, bis auf die Sprachauswahl, da habe ich Deutsch genommen (sorry, hatte das überlesen, dass man englisch nehmen soll). Der scan der Festplatte hat aber fast 4 Stunden gedauert, also wenns nicht unbedingt nötig ist, möchte ich das nicht nochmal wegen der Sprache wiederholen müssen.


Könnt Ihr mir dann auch noch was zu den Einträgen die mit "Entry..." beginnen sagen? Kann ich diese aufgeführten Einträge denn einfach so aus der registry löschen ohne dass was passiert?


Vielen, vielen Dank erst mal

Da waren's nur noch zwei!!!

Also, mit spybot's Werkzeugen zur Ansicht der ActiveX-Elemente ist mir was aufgefallen, nämlich dass bei dem Eintrag "{1C78AB3F-A857-482E-80C0-3A1E5238A565}" gar keine Beschreibungen wie bei allen anderen aufgeführten Objekte vorhanden sind. Diesen Eintrag habe ich dann auch bei HijackThis wiederentdeckt:
"O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab" und gefixed.

und siehe da, es waren nur noch zwei! :aplaus:

Jetzt findet escan kein "isearch Spyware/Adware" mehr!

Bleibt aber immer noch das Problem mit "bearshare" und "cws.therealsearch". Vielleicht bekommen wir das aber auch noch hin.

jekel